Android 8-14提权，盘古石横跨6年的坚持与创新

最近取证圈最热的新闻，无异于各厂商成功突破Android 12/13提权方案。其中提到的提权方案究竟有何魅力，引得各厂商竞相追逐？这一切还得从Android的发展现状说起。

Android发展现状

随着计算机和互联网技术的迅速发展，智能手机早已成为现代社会中人们离不开的重要的工具。与此同时，在许多案件中智能手机也成为常见的证物。因此，在数据取证中，对于智能手机的取证调查一直都是取证调查人员关注的重要领域。

Android是一个基于Linux内核与其他开源软件的开放源代码的移动操作系统，由谷歌公司牵头成立的开放手持设备联盟（OHA）领导与开发。2007年，Android发布了最初版本0.5，截止到今年2月，Android共计发布21个正式版和1个开发者预览版，已成为全球使用最广泛的智能手机操作系统之一。

Android提权对于取证的意义

众所周知，源于Android系统的碎片化，以及五花八门的厂商深度定制，导致Android设备的取证陷入到简单而又复杂的境地。简单地利用“备份与恢复”或“手机克隆/搬家”功能实现取证，却又不得不面临备份或搬家功能天生的功能缺陷，比如备份黑白名单（仅允许备份白名单或不允许备份黑名单）、存储空间限制等等。同时芯片厂商、手机厂商安全意识的提升，完整地提取手机文件系统或物理镜像正变得愈发困难，利用安全攻防对抗思维以动态提权的形式完成高权限状态下的数据提取已经成为重要的解决方案，也是取证技术重点的发展方向之一。

Android提权，顾名思义就是提高在Android手机中的系统权限，拥有整个系统的最高权限。在Android取证中可以提取提取物理镜像或完整文件系统（由于目前手机普遍默认开启了文件级加密FBE，因此通常情况下，提权仅能获取手机的完整文件系统，物理镜像时代已经成为了过去式），也可以提取定向的数据，相当于开启“上帝模式”。

可以解决包括但不限于以下的问题：

1.数据完整性保障：提权技术突破备份协议限制，获取包括隐私空间或分身应用中的数据，确保取证数据的完整性。

2.精准数据选择：提权后，可以更精确地选择需要的数据，避免部分场景下不必要的隐私侵犯。

3.无视手机空间限制：有别于备份方案，提权方案不受手机存储空间的限制，即使手机存储空间不足，也能进行数据获取。

4.不依赖厂商备份功能：对于小众品牌或国际版操作系统，可能没有内置的备份功能，提权方案可以提供一种替代方案，确保数据的可获取性。

5.恢复基础数据：恢复通讯录、短信、通话记录等基础数据依赖于原始数据库，备份只能获取转储数据，无法获取原始数据库，而提权可以获取原始数据库。

6.深度挖掘系统日志：提权后，可以更深入地分析系统日志，挖掘设备软硬件操作的各类痕迹。

盘古石一直在路上

自2018年开始，盘古石取证团队发布了数十个针对Android系统各个版本的提权方案，提供业内最完整的Android 8-14系统提权能力支撑。其中包括通用方案Dsu、Asu；基于高通芯片设备的方案Gsu；基于高通芯片的三星设备的方案Tsu；基于MTK芯片提权方案MTKsu；基于Mali GPU设备的提权方案Msu；基于PowerVR GPU设备（联发科Helio、紫光展锐、虎贲芯片）的提权方案。

为了能更好的将提权方案赋能取证产品，盘古石取证团队总会在第一时间将其集成在手机取证系列产品中，形成了对不同品牌Android系统移动终端设备的数据提取能力。

Pan ADB提权支持范围全景图

经过多年的不懈努力和深入研究，不仅使盘古石取证在Android、iOS等移动端操作系统的提权技术领域取得了显著成就，持续保持国际领先地位；也体现了盘古石取证团队对提权技术的坚持与创新，我们同时倡导更多厂商和用户真正关注到提权技术对于取证的价值与意义，为维护数字世界的公平与正义筑牢技术底座。未来，盘古石取证将继续秉承“安全赋能取证”的核心理念，面对技术对抗环境的不断演进，持续加大研发投入，致力于为用户提供更卓越的技术支持和服务。

安全为先，洞鉴未来，奇安信盘古石取证团队竭诚为您提供电子数据取证专业的解决方案与服务。如需试用，请联系奇安信各区域销售代表，或致电95015，期待您的来电！

“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队，由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先，洞鉴未来”为使命，以“安全攻防对抗思维”解决电子数据取证难题，以“数据驱动安全”为技术思想，以安全赋能取证，研发新一代电子数据取证产品，产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案，为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。